如何做好Autorun.inf 类病毒的攻防

“RavMonE.exe”、“rose.exe”、“sxs.exe”、“copy.exe”、“setup.exe”……根目次下的隐秘鬼魂，体系安详的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们而焦头烂额。这一篇文章是一篇对本身对U盘病毒的研究和与U盘病毒斗争的履历教导的总结。

Windows95往后的体系都有一个“自动运行”的成果。通过在卷插入时读取磁盘卷上的Autorun.inf文件来得到Explorer中卷的自界说图标和对卷图标的上下文菜单举办修改，并对某些媒体自动运行Autorun.inf中界说的可执行文件。05年往后，跟着各类可移动存储装备的遍及，海内有些黑客建造了偷取U盘内容并将自身复制到U盘操作Autorun.inf撒播的病毒。闻名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等闻名病毒都有这种撒播方法。它们偶然是根目次下的隐秘鬼魂，偶然是呈此刻不该该呈现的处所的接纳站，总之，它们是体系安详的严峻威胁。

Autorun.inf被病毒操作一样平常有4种方法

A.

自动运行。可是对付许多XPSP2用户和Vista用户，Autorun已经酿成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。

B.

修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，顿时发明马脚。夺目点的病毒会改默认项的名字，但假如你在非中文的体系下发明右键菜单里多出了乱码可能中文，你会以为是什么呢？

C.

ShellExecute=....只要挪用ShellExecuteA/W函数试图打开U盘根目次，病毒就会自动运行。这种是搪塞那些用Win+R输盘符开盘的人。

D.

这种疑惑性较大，是新呈现的一种情势。右键菜单一眼也看不出题目，可是在非中文的体系下，吐露无遗。溘然呈现的乱码、中文虽然难逃高眼。

面临这种伤害，尤其是第四种，仅仅依赖Explorer自己，已经很难判定可移动磁盘是否已经中毒。而在这种环境下，一部门人也按照本身的履历，做出了“免疫”器材。

免疫的步伐（对可移动磁盘和硬盘）

一、同款式录

目次在Windows下是一种非凡的文件，而两个统一目次下的文件不能同名。于是，新建一个目次“autorun.inf"在可移动磁盘的根目次，可以防备早期未思量这种环境存在的病毒建设autorun.inf，镌汰撒播乐成的概率。

二、Autorun.inf下的犯科文件款式录

有些病毒插手了容错处理赏罚代码，在天生autorun.inf之前先试图删除autorun.inf目次。

在Windows NT Win32子体系下，诸如"filename."这样的目次名是应承存在的，可是为了保持和DOS/Win9x的8.3文件体系的兼容性（.后为空非 法），直接挪用尺度Win32 API中的目次查询函数是无法查询这类目次中的内容的，会返回错误。可是，删除目次必必要逐级删除其下的整个树形布局，因此必需查询其下每个子目次的内 容。因此，在“autorun.inf"目次建一个此类非凡目次，要领如"MD x:autorun.infyksoft.."，可以防备autorun.inf目次等闲被删除。相同的尚有操作Native API建设行使DOS保存名的目次（如con、lpt1、prn等）也能到达相似的目标。

三、NTFS权限节制

病毒制造 者也是黑客，知道Windows的这几个可算是Bug的成果。他们可以做一个措施，扫描目次时发明某目次名最后一个字节为'.'则通过会见 "dirfullname.."、可能通过操作Windows NT的Native API中的文件体系函数直接到场，删除该非凡目次。

因此，基于更低层的文件体系权限节制的步伐呈现了。将U盘、移动硬盘名目化为NTFS文件体系，建设Autorun.inf目次，配置该目次对任何用户都没有任何权限，病毒不只无法删除，乃至无法列出该目次内容。

可是，该步伐不得当于音乐播放器之类凡是不支持NTFS的装备。

这三步可谓是一步比一步出色。可是，最大的题目不在怎么防备天生这个autorun.inf上，而是体系自己、Explorer的懦弱性。病毒作者很快就会做出更强盛的方案。这是我的预想。

一、团结ANI裂痕，在autorun.inf里将icon设成一个ANI裂痕的Exploit文件（颠末我的尝试，发明Windows有一种特征，就算把 ani扩展名改为ico，照旧可以理会出图标），这样只要一打开“我的电脑”，未打补丁、无杀软的体系就会直接遭殃。这样的对象还可以放到网上的各类资源 ISO中。

二、进步病毒的整体编程程度，综合以上各类反免疫方法，其它操作大都海内Windows用户常以高权限登录体系的特点，自动将没有权限的Autorun.inf目次得到全部权、加读写删除权限，击破这最健壮的碉堡。

面临云云可怕的对象，搪塞的步伐已经不多了。可是它们着实是统统Windows安详题目的根基办理方案。

一、必然要将体系和安详软件保持在最新状态。纵然是盗版用户，微软也不会不给重要级此外安详更新，也从来没有过在重要级别安详更新中插手反盗版措施的记录。

二、只管以受限定的帐户行使体系和上网，这样可以镌汰病毒进入体系的概率。Vista之以是插手UAC成果，正是由于它可以或许行使户在只管利便的同时，享受到受限用户的安详。

三、 某种水平上，可以说QQ、IE和某些设备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者呈现的“万恶之源”。通过IE裂痕，建造网页木马，安装盗 号措施，偷取账号，得到人民币。这条玄色财富链中，IE着实是最轻易剪断的一环。珍爱体系，体系必然要更新，要有能防备网页木马的杀毒软件，用IE不要乱 上各类小型下载站、色情网站等高危站点，假若有也许，行使非IE引擎的赏识器。

四、恶意绑缚软件，此刻越来越和病毒木马靠近。部门恶意软件的FSD HOOK自我防止措施也许被病毒操作来掩护本身（如SONY XCP变乱），而一些恶意软件自己就是一个病毒木马的下载器。因此，不要让混混靠近你的呆板。

Autorun.inf的攻防战还在继承，只会变得越来越出色，网民的安详意识会在攻与防的对立与同一中得到打破性的盼望。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!